主题：病毒报告（ZT）

最近木马很多，3月28日出现一个木马，希望大家防备：

我国出现新蠕虫病毒“维迪”

　　新华网天津3月28日电 国家计算机病毒应急处理中心通过对互联网的监测，发现一个名为“维迪”(Worm_Witty.A)的新蠕虫病毒，感染系统为Windows 95\98\2000\ NT\Me\ XP\Server 2003。该病毒通过UDP 4000端口向随机IP发包，利用UDP报文传播。建议使用相关产品的用户立即到ISS公司的网站http://www.iss.net/download/ ，下载漏洞的补丁程序和进行产品的升级。据了解，病毒利用了ISS公司的产品漏洞，出现首先表现为UDP端口4000的流量异常。其特征为：

　　1、通过UDP 4000端口向随机IP的随机端口发送自身，并且伪装成ICQ数据包。

　　2、利用ISS公司产品在扫描ICQ数据包时的漏洞，通过缓冲溢出，获得系统权限。

　　3、病毒驻留内存，并且不会在机器上创建文件，但会向硬盘中写入随机数据。由于ISS公司产品多用于网络监控和管理，所以Witty蠕虫有可能对ISP造成严重影响，而对于最终用户影响并不显著。专家提醒：

　　1、使用相关产品的用户，没有修补漏洞的情况下应立即断开各种网络连接，然后进行漏洞的修补和产品的升级。

　　2、在边界封堵UDP4000端口。

　　3、由于病毒并不在机器上创建文件，所以如果遭到攻击，断开网络重新启动系统。然后使用数据恢复工具进行数据恢复。(完)

　　我国出现“网络天空”新变种Worm_Netsky.P

　　国家计算机病毒应急处理中心通过对互联网的监测，发现“网络天空”出现又一变种。

　　该变种感染系统为Windows 95\98\2000\ NT\Me\ XP\Server 2003，其特征为：

　　1、生成病毒文件

　　在%Windows%目录下生成FVPROTECT.EXE，USERCONFIG9X.DLL。(其中，%Windows%是Windows的默认文件夹，通常是C:\Windows或C:\WINNT)

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建Norton Antivirus AV ="%Windows%\FVProtect.exe"

　　3、病毒的传播

　　病毒通过电子邮件传播，病毒在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。病毒邮件的发信人具有欺骗性，主题、内容和附件都是不固定的。病毒还可以通过网络共享进行传播。

　　手工清除该病毒的相关操作：

　　1、终止病毒进程：在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器--〉进程”，选中正在运行的进程“FVPROTECT.EXE”，并终止其运行。

　　2、注册表的恢复：点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面板右侧的Norton Antivirus AV = "%Windows%\FVProtect.exe”

　　3、删除病毒释放的文件：点击“开始--〉查找--〉文件和文件夹”，查找文件“FVPROTECT.EXE，USERCONFIG9X.DLL”，并将找到的文件删除。

　　4、运行杀毒软件，对系统进行全面的病毒查杀。

运气比较好

还没有被感染上

"瑞星是免费"的发布的补丁很久不能下了

看来偶的盗版软件又要换了

最近中邮件病毒的应该不在少数吧，

想想，我昨天，一下查出14个毒，我就心寒啊，这是我的最高记录了！

哈哈，我的盗版瑞星成正版的了！！！

希望电脑板块设置一个病毒报告帖子，定期报告病毒。

在下不才，大约可以一周更新一次病毒报告。

资料来源是金山，瑞星等网站，如果斑竹认为可行的话，麻烦将这个帖子固定，也好方便提醒一下大家。

国家计算机病毒应急处理中心16日发布5月17日至23日一周内将要发作的计算机病毒预报如下：

　　1、病毒名称：“生日快乐”(Troj_YerHS)

　　病毒类型：特洛伊木马病毒

<!--NEWSZW_HZH_BEGIN--><!--NEWSZW_HZH_END-->

　　发作日期：5月22日

　　危害程度：

　　22日，病毒会弹出一个对话框，对话框的标题为“You are my Best Friend”(你是我最好的朋友)，内容为“Happy Birthday Dear”(生日快乐，亲爱的)。

　　2、病毒名称：“里拉”(Worm_Livra.A)

　　病毒类型：蠕虫病毒

　　发作日期：5月24日

　　危害程度：24日，病毒会打开网页www.avril-lavigne.com ，在屏幕中央显示椭圆图案，并在屏幕的左上角显示以下信息“AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002(c) Otto von Gutenberg”。

　　专家提醒：

　　1、目前，不少病毒可以通过局域网进行，建议在局域网内只将共享资料夹给某些有需要的特定使用者，而不要将整个硬盘共享，并将所有要共享的文件设定成只读模式。减少病毒传播的途径。

　　2、很多网络病毒就通过猜测简单密码的方式对系统进行攻击，因此建议用户使用复杂的密码，降低被病毒破译密码的可能性，提高计算机系统的安全系数。

　　3、购买和安装正版的杀毒软件和个人防火墙，并根据自身需求做好相应的设置，使其充分发挥作用。同时，要定期升级杀毒软件和防火墙，并启动实时监控功能。

　　

我总对金山、瑞星等不是很放心。

我曾经搞过金山、瑞星都没办法的病毒，我想要Format时死马当活马医，用了诺顿和卡帕斯基，结果诺顿帮我搞定了。

我留了几个没杀，用卡帕斯基试了一下也能轻松搞定。后来我就不用金山了，对瑞星一点好印象也没有。而且金山所用的CPU时间也比较多。我推荐大家用Norton吧。虽然启动会慢一些，但是安全起见...

恩,大家一定要小心邮件,最好对某些邮件采用网页浏览的方式,最近"震荡波"可传播相当快

这就怪了，我用诺顿的时候，有些毒杀不了，反倒用瑞星给杀了，

这样我才买的瑞星正版！

卡帕斯基更搞笑，老子一装，它就给我带个病毒，我*，没苦死俺，郁闷。